redline
Goto Top

Verschlüsselungsproblem

Kann unter Windows XP die Daten nicht verschlüsseln, da ich ein Fehlermeldung bekomme.

Hi Leute,

damit keinem von uns langweilig wird hab ich mal wieder ein Problem.

Windows XP Prof. bietet ja bekanntlich die Möglichkeit über das Kontextmenü--> Eigenschaften ---> Erweitert den Punkt "Inhalt verschlüsseln, um Daten zu schützen"zu wählen.

Das würd ich auch gern machen, bekomme jedoch eine Fehlermeldung (s. unten oder Bild).
Denk aber, dass mir hier jemand von euch weiterhelfen kann!?

Fehlermeldung:

Beim Übernehmen der Attribute für die Datei ist ein Fehler aufgetreten:

E:\Dokumentationen

Die Wiederherstellungsrichtlinie für diesen Computer enthält ein ungültiges Wiederherstellungszertifikat.


Ich muss gestehen, dass ich mich mit Sach rund um Zertifikate und Zertifizierung nicht auskenne. Wäre also nett, wenn ihr es hier mal einem Leien erklärt.

DANKE

grüße

Content-Key: 33258

Url: https://administrator.de/contentid/33258

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: 24213
24213 30.05.2006 um 20:31:07 Uhr
Goto Top
Hallo,

ich gehe einmal davon aus, daß Deine Xp als Standalone konfiguriert ist.

Als erstes schaue einmal in der Zertifikatekonsole unter Eigene Zertifikate - Zertifikate ob Dein Admin eingetragen ist. Wenn ja, wann die Gültigkeit abläuft. Ist normalerweise in ca. 100 Jahren.
Mit Admin meine ich hierbei nicht den "grossen Admin", der im abgesicherten Modus auftaucht, sondern denjenigen, der bei der Installation, mit einem von dir vergebenen Namen, eingerichtet wurde.

Die Zertifikatekonsole bekommst du über Start-Ausführen "mmc" eingeben und abschicken, dann Snapin hinzufügen und "Zertifikate" auswählen für lokalen Computer.

Unter Vertrauenswürdige Stammzertifizierung-Zertifikate müssen Deine Zertifikate stehen, auch die werden durch die Installation eingetragen. Hier müssen gültige vorhanden sein, also alle die in ein paar Jahren ablaufen. Für Dich sind wichtig, die unter beabsichtigte Zwecke <Alle> eingetragen haben - das müssten drei sein, 2x Microsoft und 1x Symantec. Bei jedem Eintrag über rechte Maustaste kontrollieren, das auch Dateisystem verschlüsseln aktiviert ist - ansonsten entsprechend markieren und Problem sollte behoben sein.

Ist soweit aber alles ok, kann nur eine bestimte Gruppenrichtlinie nicht gegriffen haben.

Um das Ganze wieder in Ordnung zu bringen startest Du gpedit.msc über Start-Ausführen. Jetzt wanderts Du nach Lokaler Computer-Computerkonfiguration-Windows-Einstellungen-
Sicherheitseinstellungen-Richtlinien öffentlicher Schlüssel.
Rechts erscheint dann Dateisystem wird verschlüsselt. Hier klickst Du mit der rechten Maustaste drauf und wählst aus "Datenwiederherstellungs-Agenten hinzufügen ..."
Dann folgst Du einfach den Anweisungen. Anschließend dürfte es mit der Verschlüsselung keine Probleme mehr geben.
Mitglied: redline
redline 31.05.2006 um 07:30:21 Uhr
Goto Top
Hi fishman,

erstmal vielen Dank für deine schnelle und ausführliche Antwort. Die Windows XP Station ist in einer Domäne mit ca. 200 anderen Rechnern. Also nicht Standalone.

Das Problem haben wir auf drei Maschinen (Also auf allen, wo es ausprobiert wurde).

Ändert das an der Lösungsvariante, bekomme das so nämlich nicht hin? Habe in der mmc mehr Zertifikate, konnte bei einem Microsoft-Zertifikat allerdings auch den Haken setzen. Das hat nichts gebracht. Bei dem HInzufügen des Agenten bekomme ich eine Fehlermeldung, wenn ich einen Benutzer angeben soll. Was muss das für ein Benutzer sein??

Nachtrag:
Hab nochmal nachgesehen. Microsoft Authenticode Root Authority ist das Zertifikat wo ich den Haken gesetzt hab. Das ist allerdings schon 2000 abgelaufen.
Sind noch zwei weitere Microsoft Zertifikate die noch aktiv sind und wo der Haken bereits gesetzt ist.


DANKE nochmal

greetz

Redline
Mitglied: 24213
24213 31.05.2006 um 17:45:52 Uhr
Goto Top
Hallo, leider geht es bei einer Domänenmitgliedschaft , wie oben beschrieben, nicht.

Als erstes wäre wichtig um welche Domäne es sich eigentlich handelt, also w2k3, w2k oder kleiner. Alles was jünger als w2k3 kann ich Dir leider nicht helfen, da ich mich bei Security-Fragen jünger als w2k3 nicht auskenne.

Bei w2k3:
Dadurch das eine Domän vorhanden ist musst Du auf den ersten Domänencontroller zugreifen, weil der sog. Datenwiederherstellungsagent ausschließlich auf dem ersten DC bei der Installation bzw. dcpromo eingerichtet wird.

Also hier nun mal im Zertifikatespeicher die Einträge prüfen.
Hier müssten eigentlich die Einträge alle korrekt sein, wenn nicht hast du echt ein Problem.

Bei deinen Clients müsstest du nun prüfen ob auf allen "Aktualisierung von Zertifikaten" installiert ist. Da alle Clients zu prüfen doch einiges an Zeit kosten würden, wäre es wahrscheinlich sinnvoller über die Softwareverteilung "Aktualisierung von Zertifikaten" auf die Clients zu übertragen.

Die Aktualisierung der Zertifikate nimmt das Betriebssystem automatisch vor.

Nehmen wir mal an, auf deinem/n DC's stimmen die Zertifikate nicht mehr, dann würde ich auf jeden Fall eine Testumgebung aufsetzen und versuchen aktualisierte Zertifikate in den Zertifikatespeicher des DC's zu importieren und testen ob es mit der Verschlüsselung klappt.

Also Deinen "echten" DC sichern (Systemstatus) und auf den DC der Testumgebung zurückspielen. Aktuelle Zertifikate importieren. Wie bereits oben beschrieben einen Benutzer als Datenwiederherstellungsagenten hinzufügen und an einem Client die Verschlüsselung testen. Funktioniert das, kann man es auf das Livesystem übertragen.

Wichtig: Es dürfen keine Dateien oder Ordner auf dem "echten" DC bzw. in der Domain verschlüsselt worden sein, sonst gibt es Ärger bzw. die Daten sind für immer weg.

Grundsätzlich kostet das ganze eine Menge Zeit und nerven. Außerdem ist diese Systemintegrierte Verschlüsselung eh nicht zu empfehlen, da sie nur auf NTFS-Laufwerken greift. Schafft es jemand eine verschlüsselte Datei, auf Basis von Windows,auf eine FAT-Partition zu kopieren/verschieben ist die Verschlüsselung weg und man kann die Datei oder den Ordner lesen. Es reicht aus mit einem Fremdbetriebssystem, wie Knoppix, zu starten und dann entsprechend zu kopieren. Haben wir gerade letzte Woche getestet und nur noch den Kopf geschüttelt. Die Schlüsselstärke ist beim Betriebssystem eh nicht sehr stark. Sinnvoller ist es eine Fremdsoftware einzusetzen, wo eine betriebssystemunabhängige Verschlüsselung stattfindet, diese Schlüssel sind dann nicht mehr so einfach zu knacken, wenn man den aufzubringenden Zeitaufwand einmal außer Acht lässt.

Wenn es nur darum geht bestimmte Dateien vor dem Zugriff zuschützen wäre zu überlegen ob eine entsprechende Rechteverwaltung das Problem nicht auch lösen könnte. Alternativ könnte man natürlich auch aus einem zusätzlichen Rechner mit Serverbetriebssystem eine eigenen Zertifikateserver aufzubauen und über eine PKI das Ganze zu regeln. Dann hättest Du ein System, das mit HBCI vergleichbar ist. Nachteil: Teuer!!!
Mitglied: redline
redline 02.06.2006 um 11:43:00 Uhr
Goto Top
Ist ein Windows 2000 Server derzeit noch, wird aber in den nächsten 8 Wochen umgestellt. MIr reichen die Infos so aber vollkommen aus und ich denke, da kann ich was mit anfangen.

Vielen Dank für die Hilfe.
Grüße

Redline